# Kanzlei-KI-Policy _Redaktionelle Arbeitsvorlage von KI-Radar.net. Keine Rechts-, Steuer-, Datenschutz-, Berufsrechts- oder IT-Sicherheitsberatung. Vor produktiver Nutzung prüfen, anpassen und freigeben lassen._ ## Rechtliche Grenze Diese Vorlage ist kein Rechtsgutachten, keine Datenschutz-Freigabe, keine berufsrechtliche Stellungnahme und keine Mandatsvereinbarung. Vor produktiver Nutzung müssen Mandatsgeheimnis, Auftragsverarbeitung, Datenflüsse, GoBD-Bezug, Fachprüfung und Kanzleihaftung im eigenen Kontext geprüft werden. ## Zweck Regelt die Nutzung von KI-Systemen in Steuerkanzleien, insbesondere Mandatsdaten, Quellenpflicht, Freigabe und Dokumentation. ## Vor Produktivstart Zu klären sind mindestens AVV/DPA, Training-Opt-out, Subprozessoren, Datenresidenz, DATEV-/DMS-/DUO-Anbindung, Löschfristen, Export, Rollenrechte, Quellenstand, Aktennotiz und Incident-Prozess. ## Datenklassen Öffentlich, intern, mandatsbezogen, besonders sensibel und nie zulässig. Mandatsdaten gehören nur in freigegebene Kanzlei- oder Unternehmensaccounts. ## Standard-Workflow Zweck festlegen, Datenklasse bestimmen, freigegebenes Tool nutzen, Primärquellen prüfen, Freigabe dokumentieren, Aktennotiz ergänzen. ## Anbietercheck AVV/DPA, Training-Opt-out, Datenresidenz, Subprozessoren, SSO, Rollenrechte, Löschung, Export, Support und Incident-Prozess prüfen. ## DATEV und DMS Bei DATEV, DUO, DMS oder Mandantenportalen Datenfluss, Rollenvererbung, Export, Löschung und Aktennotiz separat prüfen. ## Mandantenkommunikation KI darf Entwürfe vorbereiten. Versandfähige Inhalte brauchen Fachprüfung, Quellencheck und je nach Risiko Partnerfreigabe. ## Stop-Kriterien Kein produktiver Einsatz bei unklarem Mandatsdatenfluss, fehlendem AVV/DPA, Training mit Eingaben, unklaren Subprozessoren, fehlender Löschbarkeit, nicht dokumentierter Quellenprüfung oder fehlender menschlicher Freigabe. ## Monatsreview Tools, Nutzer, Datenklassen, Prompt-Vorlagen, neue Funktionen, Vorfälle und Schulungsstand monatlich prüfen. ## Incident Nutzung stoppen, Beteiligte informieren, Umfang dokumentieren, Anbieter kontaktieren, Meldepflichten prüfen, Ursache beheben.